OPNsense 22.1 "Observant Owl" released

OPNsense 22.1 "Observant Owl" released

Opnsense가 드디어 22.1 공식 릴리즈가 되었습니다.

가장 큰 변화는 기존 커스텀BSD 버전에서 FreeBSD 13버전으로 업그레이드 된게 아닐까 싶습니다.

그 이외의 변경점은 아래 전문을 참고해주세요.


OPNsense 22.1 released - OPNsense® is a true open source firewall and more

안녕하세요,

7년 이상 동안 OPNsense는 간단 하고 안정적인 펌웨어 업그레이드, 다국어 지원, 업스트림 소프트웨어 업데이트의 빠른 채택, 명확하고 안정적인 2절 BSD 라이선스 를 통해 오픈 소스 방화벽을 모듈화하고 강화함으로써 혁신을 주도하고 있습니다.

"Observant Owl"이라는 별명이 붙은 22.1은 FreeBSD 13으로의 업그레이드, 심각도 필터링, 개선 된 조정 가능한 sysctl 값 통합, 더 빠른 부팅 시퀀스 및 인터페이스 시작, 동적 IPv6 호스트 별칭 지원과

함께 RFC 5424를 지원하는 로깅으로 전환하는 기능이 있습니다.

반면에 주요 운영 체제 변경은 회귀

및 기능 제거의 위험이 있습니다. 예를 들어 더 이상 IPsec용 커널에서 안전하지 않은 암호화를 지원하지 않고 Realtek 공급업체 드라이버를 최신 2.5G 모델을 지원하지 않는 FreeBSD 드라이버로 다시 전환합니다 . 순환 로깅 지원도 제거되었습니다. 업그레이드를 시도하기 전에 아래 의 알려진 문제 및 제한 사항을 읽으십시오 .

다운로드 링크, 설치 가이드[1] 및 이미지에 대한 체크섬

도 아래에서 찾을 수 있습니다.

o 유럽: https://opnsense.c0urier.net/releases/22.1/

o 미국 동부 해안: https://mirror.wdc1.us.leaseweb.net/opnsense/releases/22.1/

o 미국 서부 해안: https:/ /mirror.sfo12.us.leaseweb.net/opnsense/releases/22.1/

o 남아메리카: http://mirror.ueb.edu.ec/opnsense/releases/22.1/

o 동아시아: https://mirror.ntct .edu.tw/opnsense/releases/22.1/

o 전체 미러 목록: https://opnsense.org/download/

버전 21.7.7에 대한 전체 패치 노트는 다음과 같습니다.

o 시스템: 튜너블의 가시성과 유연성 향상

o 시스템: 재정의를 허용하기 위해 여러 sysctl 조작을 튜너블 프레임워크로 이동

o 시스템: 기본적으로 둘 이상의 기본 경로를 방지 o 시스템:

FreeBSD 13과 복구 유틸리티 콘텐츠 동기화

o 시스템: syslog- "syslog-ng-ctl reload"로 인한 업데이트 후 충돌에서 ng 시스템 사용

: syslog 출력에 심각도 추가 및 필터링 허용

o 시스템: 보다 쉬운 로그 소비를 위해 최신.log 링크 생성

o 시스템: 추가된 opnsense-log 유틸리티 콘솔에서 로그를 검사하려면

o 시스템: 순환 로깅 지원을 제거 했습니다.

o 시스템: 백그라운드 모든 cron 백엔드 명령이 o 시스템을 호출

합니다.

o 시스템: dpinger에 대한 특정 IPv4 주소 일치 조회에 실패한 후 폴백 개선 o 시스템

: 6RD를 사용할 때 dpinger 게이트웨이 모니터링을 위해 올바른 IPv6 인터페이스 사용

o 시스템: 기본 net.inet6.ip6.intr_queue_maxlen을 IPv4 대응

o 시스템 처럼 1000으로 : 기본 net.inet6.ip6.redirect를 IPv4 대응과 같이 off로

지정 o 시스템: resolv.conf의 "검색" 구문과 관련된 잠재적 문제 수정

o 시스템: 일반 설정 수정 유효성 검사가 실패할 때만 나타나는 PHP 경고

o 시스템: 추가 검색 허용 도메인(Pierre Fevre)

o 시스템: /var 디렉토리가 마운트 포인트일 때 /var MFS가 작동하도록 합니다. 예를 들어 ZFS에서

o 시스템: CARP 백업 모드로 들어갈 때 선택적으로 PPP 인터페이스 연결을 끊습니다.

o 시스템: 새로운 PPP CARP 후크 함수 호출 수정(Markus Reiter 제공)

o 시스템: 정보 위젯에서 별도의 코어 및 스레드 수

o 시스템: 새로운 /boot/efi 파티션에 대한 정보 위젯에서 MSDOS 파일 시스템 인식

o 시스템: 더 이상 표시되지 않음 대시보드에 마운트된 중복 파티션

o 시스템: 백업 복원에서 속성에 대처할 수 없는 가짜 XML 유효성 검사 제거

o 시스템: GUI 리바인드 보호를 리팩터링하고 해당 os-dyndns/os-rfc2136 참조 제거

o 보고: 전체 인/아웃 트래픽 표시 수정 값

o 인터페이스: 콘솔 포트 할당에서 LAGG 지원(sarthurdev 제공)

o 인터페이스: 콘솔 옵션을 통해 LAGG/VLAN 할당 개선

o 인터페이스: 콘솔 사용을 위해 get_interface_list() 복구

o 인터페이스: 내부 인터페이스 처리를 위해 이름 및 특수 /tmp 파일 사용 정렬

o 인터페이스: dhcp6c 임대에 대한 nameserverv6 및 searchdomainv6 정보를 올바르게 작성

o 인터페이스: rc 전용 캐시 IP 파일 만들기 누락된 IP 변경을 방지하기 위한 .newwan 및 rc.newwanv6 스크립트

o 인터페이스: 코드에서 불필요한 재귀를 피하기 위해 리팩터링된 링크업 이벤트 핸들러

o 인터페이스: 제거된 기회 함수 find_interface_ip(), find_interface_ipv6() 및 find_interface_ipv6_ll()

o 인터페이스: get_interface_ip() 및 get_interface_ipv6()은 이제 VIP 별칭을 지원하기 위해 제공된 경우 유효한 IP 주소를 반환합니다.

o 인터페이스: 이제 interface_addresses()가 구성 인터페이스를 반환된 주소에 매핑하여 원점을 추적할 수

있습니다. o 인터페이스: VIP가 이제 "바인드 없음" 옵션을 지원하여 구성될 때 자동 서비스 사용에서 제외됩니다

. o 인터페이스: 이제 interface_primary_address()가 사용 중입니다. 코드 전체에 걸쳐 IPv6에 해당하는 것과 같습니다

. 인터페이스: interfaces_primary_address6() 이제 필요할 때 추적 인터페이스의 주소를 고려합니다

. o 인터페이스: 이제

인터페이스: 인터페이스: "임시" 상태가 "사용되지 않는"

o 인터페이스와 같은 구성: 다른 모뎀을 잠글 수 있는 Huawei 모뎀에 대한 유지 관리되지 않은 3G 통계 수집 제거

o 인터페이스: 부팅 시 재작업된 인터페이스 생성

o 인터페이스: 스푸핑 MAC은 이제 실제 인터페이스에만 적용되며 모든 VLAN 형제 또는 상위

o 인터페이스: 추가된 영구 무차별 모드 설정

o 인터페이스: ifconfig를 통해 해당 장치에 인터페이스 설명 추가

o 인터페이스: 연결 시 브리지 인터페이스의 특수 처리 중지 o 인터페이스: 브리지에

대한 유효성 검사 개선 및 기본값 수정

o 인터페이스: 부팅 시 브리지가 VXLAN에 연결되도록 허용

o 인터페이스: 백그라운드 모든 인터페이스 재구성 스크립트 후크

o 인터페이스: 더 이상 미디어를 허용하지 않고 적용하지 않음 부모가 아닌 장치에 대한 구성

o 인터페이스: VIP를 보유할 수 없다는 구성이 없는 인터페이스의 제한 제거

o 인터페이스: GRE에 대한 존재하지 않는 링크 지원 제거

o 인터페이스: GIF 구성을 기본 시스템 옵션과 정렬

o 방화벽: WAN IPv4에서 WAN IPv4로의 모든 연결을 적절하게 종료 주소 변경

o 방화벽: NAT 유형 로그 항목에 대한 건너뛰기 규칙 ID(kulikov-a 제공)

o 방화벽: 정규화 규칙에 대한 표시 인터페이스 설명(vnxme 제공)

o 방화벽: 동적 IPv6 호스트 별칭 지원(Team Rebellion 제공)

o 방화벽 : 게이트웨이 실패 시 사용되지 않는 종료 상태 옵션

제거 o 방화벽: $aliastable 캐시 제거

o 방화벽: 정규화 규칙에서 "스크럽 없음" 옵션 지원

o 방화벽: 상태 보기에서 IPv6 NAT를 올바르게 처리

o 방화벽: 일반 로그 기본 로깅 심각도 선택이 이제 "정보 제공"입니다

. o 방화벽: 최대 셰이퍼 값 유효성 검사를 개선하고 Gbit/s 지원을 추가합니다

. o 캡티브 포털: IP 주소가 없을 때 세션 제거 충돌 방지 등록됨

o dhcp: 네트워크 부팅 옵션에서 ARM 아키텍처 허용(Keith Cirkel 제공)

o dhcp: 라우터 광고가 특정 링크 로컬 VIP 별칭을 사용하도록 허용

o dhcp: IPv4 및 IPv6 구성 페이지를 리팩터링하고 최소 서브넷 크기 요구 사항 추가 힌트

o dhcp: 라우터 광고 "정적" 모드 플래그를 재작업하여 고급 옵션을 분리합니다.

o dnsmasq: 엄격한 순서 구성 지시어를 덮어쓰는 모든 서버 수정(Christian Tramnitz 제공)

o dnsmasq: no-hosts 옵션(agh1467 제공)

o 펌웨어: "status_reboot" 변수를 API 반환 데이터에 추가하여 데이터가 속해 있음을 분명히 합니다. 제공되는 마이너 업데이트 또는 메이저 업그레이드

o 펌웨어: 업데이트 서버 로드 스파이크를 피하기 위해 기존 펌웨어 크론 작업에 임의 지연 추가

o 펌웨어: 대시보드에서 업데이트에 대한 간단한 확인으로 사용하기 위해 매일 변경 로그를 가져오는 자동 크론 작업 추가

o 펌웨어 : 향후 사용을 위해 모든 패키지의 교차 ABI 재설치 구현

o 펌웨어: opnsense-update: 기본 세트 추출에서 /boot/efi 권한 재설정 제외 제외

o 펌웨어: 더 이상 사용되지 않는 비즈니스 리포지토리 지문을 제거하고 22.1 지문을 추가했습니다

. o 펌웨어: 펌웨어 검사가 수행되지 않은 경우에도 상태 엔드포인트에 대한 제품 정보를 반환합니다

. o 설치 프로그램: 설치 중에 이전에 선택한 rc.conf 키맵 설정의 설치 수정

o 설치 프로그램: EFI 파티션을 기본 탑재 지점

o 설치 프로그램: EFI 파티션 크기를 260MB로 증가

설치 프로그램: 디스크 및 ZFS 풀 스캔 및 표시 개선

o 침입 감지: 구성 마이그레이션 충돌 방지

o 침입 감지: 버전 6으로 ET-Open으로

업데이트 o ipsec: 업데이트 새로운 1단계 및 2단계 생성 시 기본 설정 보안

o ipsec: FreeBSD 13에서 더 이상 지원하지 않는 해시 및 알고리즘 제거

o ipsec: 터널 설정 페이지를 MVC로 마이그레이션

o lang: 중국어, 프랑스어, 독일어, 이탈리아어, 일본어, 노르웨이어, 스페인어 및 터키어에 대한 번역 업데이트

o lang: 낮은 번역 비율로 인해 이탈리아어를 개발 전용 언어로 강등

o monit: move 자체 대상에 로깅

o 네트워크 시간: iburst 옵션을 추가하고 기본적으로 사용 중지(Patrick M. Hausen 제공)

o 네트워크 시간: "kod" 옵션에서 "limited" 분리(Zsolt Zsiros 제공)

o 네트워크 시간: PID 제거 신뢰할 수 없는 파일 사용

o openvpn: 주소로 종료가 작동하지 않을 때 일반 이름으로 종료

o 언바운드: 로컬 주소 서버 사용에서 do-not-query-localhost 비활성화

o 언바운드: 호스트 이름 전용 정적 항목으로 DNS 업데이트(Gareth Owen 기고)

o 업데이트: opnsense-bootstrap: -z 스냅샷 모드

o 업데이트: opnsense-bootstrap: 향상된 유형 감지

o 업데이트: opnsense-code: -r 저장소 제거

o 업데이트: opnsense-fetch: 실패한 다운로드의 오류 메시지를 내보냅니다

. o 업데이트: opnsense-update: /boot/kernel과 같은 커널 디버그 디렉토리를 처리합니다.

o 업데이트: opnsense-update: 제거된 "펌웨어 업그레이드" 파일 지원

o 업데이트: opnsense-verify : FreeBSD 13과 공유 코드 동기화

o 백엔드: configctl 유틸리티 사용 통합

o 이미지: 기본 설치에서 더 이상 사용되지 않는 os-dyndns 플러그인 제거

o mvc: configd 오류 로깅 수정

o mvc: ModelRelationField에 BlankDesc 추가(agh1467 제공)

o mvc: 레거시 구성 섹션에 대한 에뮬레이션 버전 관리 빈 노드

o mvc: 인터페이스 API에 getInterfaceConfig 엔드포인트 추가(Paolo Asperti 제공)

o mvc: 텍스트 필드에 대한 힌트 지원 추가(기여 by agh1467)

o ui: 테라바이트 및 페타바이트에 대한 지원을 format_bytes()에 추가(agh1467 제공)

o ui: MVC 구성 요소에 대한 범용 스트라이핑 조정(kulikov-a 제공)

o ui: 브라우저에 jQuery Bootgrid 설정 저장을 코어에서 이동 부트 그리드로(Manuel Faux 제공)

o src: FreeBSD 13-STABLE 현재 4ee9fbcd853

o src: LUA 부트 로더로 마이그레이션(Kyle Evans 제공)

o src: /root 디렉토리에 대한 업스트림 권한 변경 되돌리기

o src: 잘못된 linkers.hint 파일을 생성하는 커널 빌드 수정

o src: carp: 보내기 오류 강등 복구 수정

o src: ixgbe: 후속 I2C 버스 읽기 시간 초과 방지

o src: 재작업된 공유 전달

o 플러그인: os-acme-client 3.8[2]

o 플러그인: os-bind 1.20[3]

o 플러그인: os-dyndns에 대한 최종 대체물로서 os-ddclient 1.0

o 플러그인: os-dyndns는 get_dyndns_ip()의 로컬 복사본을 추가합니다.

o 플러그인: os-freeradius 1.9.18[4]

o 플러그인: os-frr 1.26[5]

o 플러그인: os-haproxy 3.10[6]

o 플러그인: os-nginx 1.26[7]

o 플러그인: os-openconnect 1.4. 2[8]

o 플러그인: os-postfix 1.21[9]

o 플러그인: os-rfc2136은 get_dyndns_ip()의 로컬 복사본을 추가합니다

. o 플러그인: os-telegraf 1.12.4[10]

o 플러그인: os-wireguard 1.10[11]

o 플러그인: os-wol은 깨우기 작업에 대한 cron 지원을 추가합니다(기여 digitalshow)

o 플러그인: os-zabbix-proxy 1.7[12]

o 포트: expat 2.4.2[13]

o 포트: filterlog 0.6[14]

o 포트: 묶음 2.37.2

o 포트: hostapd 2.10[15]

o 포트: lighttpd 1.4.63[16]

o 포트: nss 3.74[17]

o 포트: openssl 1.1.1m[18]

o 포트: openvpn 2.5.5[19]

o 포트: pecl-psr 1.2.0[20]

o 포트: phalcon 4.1.3[21]

o 포트: php 7.4.27[22]

o 포트: pkg는 정적 바이너리에서 HTTPS 가져오기의 유효성 검사 실패를 수정합니다[23]

o 포트: sqlite 3.37.2 [24]

o 포트: syslog-ng 3.35.1 [25]

o 포트: 바인딩되지 않은 1.14.0 [26]

o 포트: wpa_supplicant 2.10 [27]

알려진 문제 및 제한 사항:

o 이 릴리스에는 새로운 주요 운영 체제 버전이 포함되어 있으므로 필요한 주의를 기울여 수행해야 합니다. 확장된 테스트 범위에도 불구하고 FreeBSD가 변경한 사항은 우리가 모르는 사이에 작동에 영향을 미칠 수 있습니다. ZFS 부트 환경을 제외하고 주요 운영 체제 버전 간의 롤백은 매우 취약하므로 최악의 경우 이전 버전을 다시 설치해야 합니다. 자세한 내용은 FreeBSD 13.0 릴리스 노트[28]를 참조하십시오.

o FreeBSD 13의 IPsec 해시 및 암호 제거는 안전하지 않은 암호화 옵션이 업스트림에서 제거되었으므로 기존 설정에 영향을 줄 수 있습니다. 2단계에서 MD5, Blowfish, DES, 3DES 또는 CAST128을 사용하는 경우 업그레이드 전에 더 안전한 설정으로 이동하십시오. 1단계 설정은 영향을 받지 않지만 안전하지 않은 설정은 여전히 ​​피해야 합니다. 자세한 내용은 문제의 FreeBSD 커밋[29]을 참조하십시오.

o Realtek 공급업체 드라이버는 더 이상 업데이트된 FreeBSD 커널과 함께 번들로 제공되지 않습니다. FreeBSD 13이 Realtek NIC를 지원하는지 확실하지 않은 경우 NIC의 작동성을 유지하기 위해 업그레이드하기 전에 os-realtek-re 플러그인을 설치하십시오.

o MAC 스푸핑은 이제 VLAN 형제 또는 상위 인터페이스가 아닌 구성된 인터페이스에만 관련됩니다. 이렇게 하면 코드의 이전 부작용으로 인해 원치 않는 구성이 발생할 수 있습니다. 스푸핑된 MAC이 필요한 모든 인터페이스에 대해 스푸핑된 MAC을 할당하고 설정해야 합니다.

o 부모가 아닌 인터페이스에 대해 미디어 설정이 더 이상 표시되지 않으며 적용하려면 개별적으로 설정해야 합니다. 이렇게 하면 코드의 이전 부작용으로 인해 원치 않는 구성이 발생할 수 있습니다. 상위 인터페이스가 이전에 할당되지 않은 경우 필요한 미디어 설정을 다시 적용하도록 할당하십시오.

o NTPD 기본값이 기본적으로 "iburst" 옵션을 제외하도록 변경되었습니다. "limited" 설정이 "kod" 옵션에서 분리되었습니다. 두 경우 모두 필요한 경우 구성 조정을 통해 이전 동작을 수행할 수 있습니다.

o 두 플러그인의 사용 중단으로 인해 os-dyndns 또는 os-rfc2136을 통한 리바인드 검사가 더 이상 작동하지 않습니다. 업그레이드 전에 리바인드 호스트를 수동으로 추가하거나 리바인드 보호를 비활성화하십시오.

o GRE link1 지원이 제거되었으며 지금 작동하려면 정적 경로가 필요합니다.

o 순환 로깅 지원이 제거되었습니다. 사용자 상호 작용이 필요하지 않습니다.

OPNsense 팀 , 안전하게 지내십시오.

--

[1] https://docs.opnsense.org/manual/install.html

[2] https://github.com/opnsense/plugins/blob/stable/22.1/security/acme-client/pkg-descr

[3] https://github.com/opnsense/plugins/blob/stable/22.1/dns/bind/pkg-descr

[4] https://github.com/opnsense/plugins/blob/stable/22.1/net/freeradius/pkg-descr

[5] https://github.com/opnsense/plugins/blob/stable/22.1/net/frr/pkg-descr

[6] https://github.com/opnsense/plugins/blob/stable/22.1/net/haproxy/pkg-descr

[7] https://github.com/opnsense/plugins/blob/stable/22.1/www/nginx/pkg-descr

[8] https://github.com/opnsense/plugins/blob/stable/22.1/security/openconnect/pkg-descr

[9] https://github.com/opnsense/plugins/blob/stable/22.1/mail/postfix/pkg-descr

[10] https://github.com/opnsense/plugins/blob/stable/22.1/net-mgmt/telegraf/pkg-descr

[11] https://github.com/opnsense/plugins/blob/stable/22.1/net/wireguard/pkg-descr

[12] https://github.com/opnsense/plugins/blob/stable/22.1/net-mgmt/zabbix-proxy/pkg-descr

[13] https://github.com/libexpat/libexpat/blob/R_2_4_2/expat/Changes

[14] https://github.com/opnsense/ports/commit/2e27655d84

[15] https://w1.fi/cgit/hostap/plain/hostapd/ChangeLog

[16] https://www.lighttpd.net/2021/12/4/1.4.63/

[17] https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/NSS_3.74_release_notes

[18] https://www.openssl.org/news/openssl-1.1.1-notes.html

[ 19] https://community.openvpn.net/openvpn/wiki/ChangesInOpenvpn25#Changesin2.5.5

[20] https://pecl.php.net/package-changelog.php?package=psr&release=1.2.0

[21] https://github.com/phalcon/cphalcon/releases/tag/v4.1.3

[22] https://www.php.net/ChangeLog-7.php#7.4.27

[23] https://cgit. freebsd.org/ports/commit/?id=08342c9812d

[24] https://sqlite.org/releaselog/3_37_2.html

[25] https://github.com/syslog-ng/syslog-ng/releases/tag /syslog-ng-3.35.1

[26]https://nlnetlabs.nl/projects/unbound/download/#unbound-1-14-0

[27] https://w1.fi/cgit/hostap/plain/wpa_supplicant/ChangeLog

[28] https://www.freebsd.org/releases/13.0R/relnotes/

[29] https://github.com/opnsense/src/commit/16aabb761c0a